Оферта за отстъпка за множество лицензи
База данни за заплахи Банков троянски кон Троянски кон Water Saci Banking

Троянски кон Water Saci Banking

До Mezo през Банков троянски кон, Усъвършенствана постоянна заплаха (APT), Мобилен зловреден софтуерг
Превод на:

Киберпрестъпните операции продължават да се развиват, а бразилският хакер Уотър Сачи демонстрира забележителен скок в усъвършенстването си. Последните кампании използват многослойни вериги за заразяване, използващи HTA файлове, PDF файлове и WhatsApp, за да разпространяват банков троянски кон, насочен към бразилските потребители с безпрецедентна ефективност.

Многоформатна атакуваща верига: от PowerShell до Python

Последната вълна от атаки бележи значителна промяна в тактиките на Water Saci. Преди това разчитащ на PowerShell, хакерът сега използва вариант, базиран на Python, който разпространява зловреден софтуер по начин, подобен на червей, чрез WhatsApp Web.

Ключови елементи на тази подобрена верига за атаки включват:

PDF примамки : Жертвите получават PDF файлове, които ги инструктират да актуализират Adobe Reader, като кликнат върху злонамерен линк.

HTA файлове : Когато се изпълняват, тези файлове изпълняват Visual Basic скриптове, които стартират PowerShell команди за извличане на полезни товари, включително MSI инсталатор за троянски кон и Python скрипта, отговорен за разпространението на WhatsApp.

Този многоформатен подход демонстрира как Water Saci е наслоила своите механизми за атака, вероятно използвайки изкуствен интелект или автоматизирани инструменти за преобразуване на скриптове от PowerShell в Python. Това увеличава съвместимостта, скоростта, устойчивостта и поддръжката на доставянето на зловреден софтуер.

MSI инсталатор и AutoIt-базиран троянски зареждач

MSI инсталаторът служи като механизъм за доставяне на банковия троянец. Неговият AutoIt скрипт изпълнява няколко важни функции:

  • Гарантира, че само един екземпляр на троянски кон работи, като проверява за маркерен файл (executed.dat) и уведомява контролиран от атакуващия сървър.
  • Проверява настройките на системния език (португалски-бразилски) преди сканиране за файлове и приложения, свързани с банкирането, включително Bradesco, Warsaw, Topaz OFD, Sicoob и Itaú.
  • Търси в историята на Google Chrome за посещения в големи бразилски банки: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi и Bradesco.

Зареждащият програмен процес използва „изпразване на процеси“ и междинно PE зареждане чрез TDA/DMP файлове, за да инжектира троянската програма в паметта, постигайки скритост и постоянство. Ако троянският процес бъде прекратен, той автоматично се инжектира отново, когато жертвата получи достъп до банков сайт.

Функционалност на троянския кон: Агресивно разузнаване и кражба на идентификационни данни

Троянският кон на Water Saci показва разширени възможности за наблюдение, контрол и кражба на данни, включително:

  • Мониторинг на заглавията на прозорците за откриване на банкови или криптовалутни платформи.
  • Принудително прекратяване на браузъра за повторно отваряне на сайтове под контрола на атакуващия.
  • Разузнаване на хоста и системата чрез WMI заявки.
  • Промени в системния регистър за постоянство.
  • C2 комуникация за дистанционно управление.
  • Поддържаните операции включват:
  • Изпращане на системна информация
  • Клавиатура и заснемане на екрана
  • Симулиране на активността на мишката
  • Файлови операции (качване/изтегляне)
  • Изброяване на прозорци
  • Създаване на фалшиви банкови наслагвания

Тази функционалност отразява фокусираните върху Латинска Америка банкови троянци като Casbaneiro, отразявайки структурна и поведенческа приемственост, като същевременно използва по-усъвършенствани механизми за доставка.

Разпространение на WhatsApp, базирано на Python

Забележителна иновация в кампанията е Python скриптът, който разпространява зловредния софтуер чрез WhatsApp Web, използвайки инструмента за автоматизация на браузъра Selenium. Данните сочат, че Water Saci може да е използвал големи езикови модели или инструменти за превод на код, за да пренесе оригиналната логика за разпространение на PowerShell към Python. Изходите от конзолата дори включват емоджита, което подчертава сложността на новия скрипт.

Чрез използване на доверието и обхвата на WhatsApp, Water Saci може да разпространява зловреден софтуер в голям мащаб, заобикаляйки традиционните защити и бързо компрометирайки жертвите.

Заключение: Нова ера на киберзаплахите, базирани на съобщения

Кампанията „Water Saci“ подчертава нарастваща тенденция: киберпрестъпниците използват легитимни платформи като WhatsApp като оръжие, за да внедряват сложен зловреден софтуер. Чрез комбиниране на социално инженерство, разработване на скриптове с помощта на изкуствен интелект и многоетапно доставяне на зловреден софтуер, злонамерените лица могат да поддържат постоянни инфекции с банкови троянски коне, като същевременно избягват конвенционалните контроли за сигурност.

Този случай подчертава необходимостта от повишена бдителност, надеждна защита на крайните точки и осведоменост на потребителите, особено в региони като Бразилия, където платформите за съобщения играят централна роля в ежедневната комуникация.

Тенденция

Lionmerks.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Да бъдете бдителни, докато навигирате в интернет, е от съществено значение, особено след като измамните уебсайтове продължават да се развиват в усилията си да манипулират потребителите. Страниците,...

TrustedSpotSearch.com

Измамни уебсайтове, Рекламен софтуер, Потенциално нежелани програми
Защитата на вашата система от натрапчив и ненадежден софтуер е от съществено значение за поддържането на сигурно и надеждно сърфиране. PUP (потенциално нежелани програми) често се маскират като...

Cosollic.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Бдението по време на сърфиране е от съществено значение, тъй като много уебсайтове днес се опитват да заблудят потребителите с подвеждащи тактики, които ги излагат на рискове за сигурността и...

Най-гледан

Зареждане...